CAPTCHA con Imágenes (ComplexImage)
y CapMonster Cloud

Resolución de CAPTCHA, instalación en el sitio web y pruebas.

¿Heredaste un sitio con una captcha u otra capa de protección pero sin acceso al código fuente? Entonces es normal preguntarse: ¿qué solución está instalada, está configurada correctamente y cómo se puede probar?

En este artículo hemos intentado responder a todas las preguntas clave. Para empezar a resolver la tarea, primero hay que determinar qué sistema de protección se está utilizando. Para ello, puedes consultar la lista de captchas y sistemas de protección antibot más populares, donde se muestran ejemplos visuales y señales clave que te ayudarán a identificar rápidamente con qué estás tratando.

Si descubres que tu sitio web utiliza ComplexImage, el siguiente paso será analizar con más detalle sus propiedades y su funcionamiento. En este mismo artículo también puedes consultar la guía de integración de ComplexImage para comprender por completo cómo funciona en tu sitio. Esto te permitirá no solo entender la protección actual, sino también planificar correctamente su mantenimiento.

Qué es un CAPTCHA de imágenes

Un CAPTCHA de imágenes es un tipo de CAPTCHA visual en el que el usuario debe realizar una tarea relacionada con el análisis de imágenes. Normalmente, el sistema solicita seleccionar imágenes que cumplan una condición, contar objetos, identificar la posición correcta de un elemento u realizar otra acción visual. A diferencia de los CAPTCHAs de texto, donde solo se deben ingresar caracteres de una imagen, los CAPTCHAs de imágenes verifican la capacidad del usuario para interpretar información visual y realizar acciones lógicas. Esto los hace más difíciles de reconocer automáticamente y más efectivos para proteger formularios de registro, inicio de sesión y otros puntos críticos del sitio de los bots.

Cómo resolver un CAPTCHA de imágenes usando CapMonster Cloud

Al probar formularios con Tencent CAPTCHA, a menudo es necesario verificar que el CAPTCHA funcione correctamente y esté integrado correctamente.

Puede probar manualmente el CAPTCHA en su sitio web:

Abra la página con el formulario y asegúrese de que el CAPTCHA se muestre.
Intente enviar el formulario sin resolver el CAPTCHA: el servidor debería devolver un error.
Después de resolver correctamente el CAPTCHA, el formulario debería enviarse sin errores.

Para resolver automáticamente el CAPTCHA, puede usar servicios especializados como CapMonster Cloud, una herramienta que recibe los parámetros del CAPTCHA, los procesa en sus servidores y devuelve la solución lista, por ejemplo, números o coordenadas de clics que se pueden usar para pasar la verificación sin la participación del usuario.

Trabajar con CapMonster Cloud mediante la API suele implicar los siguientes pasos:

Creación de la tarea

En esta etapa, proporcione su clave API, tipo de CAPTCHA y parámetros. El servicio devuelve un taskId único, que luego se puede usar para obtener el resultado.

Enviar una solicitud API

En la solicitud para resolver un CAPTCHA de imágenes, se deben especificar los siguientes parámetros:

type - ComplexImageTask

class - recognition

imagesBase64 - un array de imágenes en formato Base64. Ejemplo: [“/9j/4AAQSkZJRgABAQEAAAAAAAD…”];

Task (dentro de metadata) - Nombre de la tarea (por ejemplo, dli).

Consulta más detalles sobre los parámetros y cómo recopilarlos automáticamente antes de enviar una tarea en la documentación de CapMonster Cloud.

Endpoint para enviar la tarea:

https://api.capmonster.cloud/createTask

Ejemplo de solicitud:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "ComplexImageTask",
    "class": "recognition",
    "imagesBase64": [
      "base64"
    ],
    "metadata": {
      "Task": "dli" //  reemplace con la tarea deseada, la lista de módulos disponibles se encuentra en https://docs.capmonster.cloud/docs/captchas/ComplexImageTask-Recognition/
    }
  }
}

Respuesta:

{
  "errorId":0,
  "taskId":407533072
}

Recepción del resultado

Tras crear la tarea, consulta periódicamente el estado de la solución.

Dirección para recibir el resultado:

https://api.capmonster.cloud/getTaskResult

Ejemplo de solicitud:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respuesta:


{
    "solution":
  {
    "answer": "1",
    "metadata": {
        "AnswerType": "Text"
    }
  },
    "cost": 0.0003,
    "status": "ready",
    "errorId": 0,
    "errorCode": null,
    "errorDescription": null
}

Colocar el token en la página

El token recibido se puede insertar en un campo oculto del formulario o llamar a una función JS en el sitio web para confirmar la solución. Después de esto, el servidor aceptará el formulario como correctamente completado. Para la automatización y las pruebas, se pueden usar Puppeteer, Selenium o Playwright para emular acciones del usuario, insertar tokens y enviar formularios.

Reconocimiento de CAPTCHA de imágenes usando bibliotecas listas para usar

El servicio CapMonster Cloud proporciona bibliotecas listas para usar en Python, JavaScript (Node.js) y C#.

Python

JavaScript

Insertar solución y enviar formulario

Ejemplo en Node.js para un ciclo completo de reconocimiento de CAPTCHA en su página web. Enfoques posibles: usar solicitudes HTTP para obtener HTML y parámetros del sistema de protección, enviar la respuesta y procesar el resultado. O, como en el ejemplo, usar herramientas de automatización (como Playwright): abrir la página, esperar la verificación, enviar parámetros a través del cliente de CapMonster Cloud, recibir el resultado, insertarlo en el campo correspondiente (para pruebas se pueden usar datos correctos o incorrectos) y observar el resultado.


// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, ComplexImageTaskRecognitionRequest } from '@zennolab_com/capmonstercloud-client';

const API_KEY = "YOUR_API_KEY";
const TARGET_URL = "https://example.com/captcha-page";

async function solveComplexImageTaskPlaywright() {
    const browser = await chromium.launch({ headless: false });
    const context = await browser.newContext();
    const page = await context.newPage();
    await page.goto(TARGET_URL);

    // Localizar la imagen del CAPTCHA
    const captchaHandle = await page.$('#captcha'); // reemplace con el selector real
    const captchaBase64 = await captchaHandle.evaluate(img => {
        const canvas = document.createElement('canvas');
        canvas.width = img.width;
        canvas.height = img.height;
        const ctx = canvas.getContext('2d');
        ctx.drawImage(img, 0, 0);
        return canvas.toDataURL('image/png').split(',')[1];
    });

    console.log("Captcha base64:", captchaBase64.substring(0, 50) + "...");

    const cmcClient = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    // Enviar CAPTCHA para reconocimiento
    const citRecognitionRequest = new ComplexImageTaskRecognitionRequest({
        imagesBase64: [captchaBase64],
        metaData: { Task: 'oocl_rotate' } // reemplace con su tipo de CAPTCHA
    });

    const result = await cmcClient.Solve(citRecognitionRequest);
    console.log("Solution received:", result);

    // Procesar la solución
    const solution = result.solution;

    if (!solution) {
        console.error("No solution received");
        return;
    }

    if (solution.metadata?.AnswerType === "Coordinate") {
        // CAPTCHA con coordenadas
        const box = await captchaHandle.boundingBox();
        for (const point of solution.answer) {
            const clickX = box.x + point.X;
            const clickY = box.y + point.Y;
            console.log(`Clicking at: (${clickX}, ${clickY})`);
            await page.mouse.click(clickX, clickY);
        }
    } else if (solution.metadata?.AnswerType === "Grid") {
        // CAPTCHA de cuadrícula (array true/false)
        const box = await captchaHandle.boundingBox();
        const gridItems = await page.$$('#captcha_grid div'); // reemplace con los selectores de los elementos de la cuadrícula
        const answers = solution.answer;

        for (let i = 0; i < answers.length; i++) {
            if (answers[i] && gridItems[i]) {
                const itemBox = await gridItems[i].boundingBox();
                const clickX = itemBox.x + itemBox.width / 2;
                const clickY = itemBox.y + itemBox.height / 2;
                console.log(`Clicking grid item ${i} at: (${clickX}, ${clickY})`);
                await page.mouse.click(clickX, clickY);
            }
        }
    } else {
        console.warn("Unknown captcha solution type:", solution.metadata?.AnswerType);
    }

    // Hacer clic en el botón de confirmación (si lo hay)
    await page.click('#submit_button'); // reemplace con el selector real del botón

    console.log("Captcha solved.");
}

solveComplexImageTaskPlaywright().catch(console.error);

También existe la posibilidad de probar el reconocimiento de CAPTCHA directamente con la extensión de navegador CapMonster Cloud, que permite probar rápidamente el CAPTCHA en la página y seguir el proceso de solución en tiempo real sin escribir código – disponible para Chrome y Firefox.

Cómo integrar un CAPTCHA de imágenes en su sitio web

Para comprender cómo funciona el CAPTCHA en su sitio, verificar la lógica o reconfigurarlo, recomendamos esta sección. Describe el proceso general de integración de la protección, lo que ayuda a entender rápidamente todos los detalles.

1. Generación de CAPTCHA en el servidor.

Se crea una imagen CAPTCHA: una imagen o cuadrícula de imágenes.
Se añaden ruido, distorsiones y elementos aleatorios para proteger contra bots.
Se genera un captchaId único y se almacena la solución correcta (en memoria, base de datos o caché).

2. Enviar CAPTCHA al cliente

El servidor envía al cliente captchaId y la imagen (Base64 o URL).
El cliente muestra el CAPTCHA, por ejemplo con <img> o cuadrícula <div> con instrucciones.

Si desea crear su propio CAPTCHA desde cero, consulte nuestra detallada guía donde se explican todos los pasos clave de implementación.

Ejemplo de parte cliente (HTML + JS)


<!--CAPTCHA de cuadrícula de imágenes-->
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Grid CAPTCHA Demo</title>
<style>
  #captchaGrid {
    display: grid;
    grid-template-columns: repeat(3, 100px);
    grid-gap: 10px;
    margin-bottom: 10px;
  }
  .grid-item {
    width: 100px;
    height: 100px;
    background-color: #eee;
    display: flex;
    align-items: center;
    justify-content: center;
    cursor: pointer;
    border: 2px solid transparent;
  }
  .grid-item.selected {
    border-color: blue;
  }
</style>
</head>
<body>
<h1>Grid CAPTCHA Demo</h1>

<div id="captchaGrid"></div>
<button id="submitBtn">Submit</button>
<button id="refreshBtn">Refresh CAPTCHA</button>
<p id="result"></p>

<script>
let captchaId;
let answers = []; // Array true/false para clics

async function loadCaptcha() {
    const res = await fetch('/captcha'); // El servidor devuelve JSON con captchaId y array de imágenes Base64
    const data = await res.json();
    captchaId = data.captchaId;
    answers = new Array(data.images.length).fill(false);

    const grid = document.getElementById('captchaGrid');
    grid.innerHTML = '';

    data.images.forEach((imgBase64, i) => {
        const div = document.createElement('div');
        div.className = 'grid-item';
        div.style.backgroundImage = `url('data:image/png;base64,${imgBase64}')`;
        div.style.backgroundSize = 'cover';
        div.addEventListener('click', () => {
            answers[i] = !answers[i];
            div.classList.toggle('selected', answers[i]);
        });
        grid.appendChild(div);
    });

    document.getElementById('result').textContent = '';
}

document.getElementById('refreshBtn').addEventListener('click', loadCaptcha);

document.getElementById('submitBtn').addEventListener('click', async () => {
    const res = await fetch('/captcha/verify', {
        method: 'POST',
        headers: { 'Content-Type': 'application/json' },
        body: JSON.stringify({ captchaId, answer: answers })
    });
    const data = await res.json();
    document.getElementById('result').textContent = data.success ? 'Captcha passed!' : 'Captcha failed, try again.';
    if (!data.success) loadCaptcha();
});

// Cargar CAPTCHA al iniciar
loadCaptcha();
</script>
</body>
</html>

3. Ingreso de la respuesta por el usuario

El usuario ingresa texto, hace clic en imágenes o rota objetos.
El cliente forma la respuesta en la estructura adecuada:

CAPTCHA de texto → cadena
Cuadrícula → array true/false
Coordenadas → array de {X, Y}

4. Enviar respuesta al servidor:

El cliente envía POST con captchaId y respuesta (answer).
Opcionalmente, se puede enviar token de sesión para evitar repetición.

5. Verificación en el servidor

El servidor busca la sesión de CAPTCHA por captchaId.
Compara la respuesta del usuario con la solución correcta.
Devuelve success: true/false.
Si falla, se puede actualizar el CAPTCHA.

Ejemplo de servidor


<?php
session_start();

// TTL de CAPTCHA en segundos
define('CAPTCHA_TTL', 300); // 5 minutos

// Generar imagen aleatoria
function generateCaptchaImage($text = null) {
    $width = 100;
    $height = 100;
    if (!$text) {
        $text = substr(str_shuffle('ABCDEFGHJKLMNPQRSTUVWXYZ23456789'), 0, 2);
    }

    $image = imagecreatetruecolor($width, $height);

    // Fondo
    $bgColor = imagecolorallocate($image, rand(180, 255), rand(180, 255), rand(180, 255));
    imagefilledrectangle($image, 0, 0, $width, $height, $bgColor);

    // Texto
    $textColor = imagecolorallocate($image, 0, 0, 0);
    $fontSize = 15;
    $fontFile = __DIR__ . '/Arial.ttf'; // Ruta a fuente TTF
    if (file_exists($fontFile)) {
        imagettftext($image, $fontSize, rand(-20,20), 10, 50, $textColor, $fontFile, $text);
    } else {
        imagestring($image, 5, 10, 40, $text, $textColor);
    }

    ob_start();
    imagepng($image);
    $imgData = ob_get_clean();
    imagedestroy($image);

    return base64_encode($imgData);
}

// Crear CAPTCHA de cuadrícula
function generateGridCaptcha() {
    $numImages = 9; // 3x3
    $images = [];
    $solution = [];

    for ($i = 0; $i < $numImages; $i++) {
        // Solución aleatoria, imagen correcta o no (ejemplo)
        $isCorrect = rand(0,1) === 1;
        $solution[] = $isCorrect;

        // Generar imagen (se pueden agregar diferentes objetos para CAPTCHA real)
        $text = $isCorrect ? 'OK' : 'NO';
        $images[] = generateCaptchaImage($text);
    }

    return ['images' => $images, 'solution' => $solution];
}

// Endpoint de generación de CAPTCHA
if ($_SERVER['REQUEST_METHOD'] === 'GET' && $_SERVER['REQUEST_URI'] === '/captcha') {
    $captchaId = uniqid('captcha_', true);
    $gridCaptcha = generateGridCaptcha();

    $_SESSION['captchas'][$captchaId] = [
        'solution' => $gridCaptcha['solution'],
        'timestamp' => time()
    ];

    header('Content-Type: application/json');
    echo json_encode([
        'captchaId' => $captchaId,
        'images' => $gridCaptcha['images']
    ]);
    exit;
}

// Endpoint de verificación de CAPTCHA
if ($_SERVER['REQUEST_METHOD'] === 'POST' && $_SERVER['REQUEST_URI'] === '/captcha/verify') {
    $data = json_decode(file_get_contents('php://input'), true);
    $captchaId = $data['captchaId'] ?? '';
    $answer = $data['answer'] ?? [];

    if (!isset($_SESSION['captchas'][$captchaId])) {
        echo json_encode(['success' => false, 'message' => 'Captcha expired or not found']);
        exit;
    }

    $captcha = $_SESSION['captchas'][$captchaId];

    // Verificar TTL
    if (time() - $captcha['timestamp'] > CAPTCHA_TTL) {
        unset($_SESSION['captchas'][$captchaId]);
        echo json_encode(['success' => false, 'message' => 'Captcha expired']);
        exit;
    }

    // Verificar array true/false
    $success = $captcha['solution'] === $answer;

    // Eliminar CAPTCHA después de la verificación
    unset($_SESSION['captchas'][$captchaId]);

    echo json_encode(['success' => $success]);
    exit;
}

// 404
http_response_code(404);
echo 'Not found';

6. Pasos siguientes

CAPTCHA exitosa → se permite el proceso protegido (formulario, registro, etc.).
CAPTCHA fallida → se emite una nueva, opcionalmente limitando los intentos.

Adicionalmente

Use TTL (tiempo de vida) para las sesiones de CAPTCHA, para que expiren automáticamente.
Cache imágenes y use URLs temporales para ahorrar recursos.
Asegure el correcto funcionamiento de clics y toques en dispositivos móviles.
Lleve registros y análisis para mejorar la experiencia del usuario y la protección contra bots.

Posibles errores y depuración

CAPTCHA de imágenes no se carga

(Cuadrícula vacía, imágenes rotas, errores 404/500, problemas con base64) — verifica que el servidor genere correctamente las imágenes, que los datos base64 no estén dañados, que el formato de imagen sea compatible con el navegador y que el cliente reciba un captchaId válido.

Los clics del usuario no se procesan

(Las celdas no se seleccionan o la respuesta está vacía) — asegúrate de que las coordenadas o índices de los clics se envíen al servidor, que los datos se serialicen correctamente y que se admitan eventos táctiles en dispositivos móviles.

El captcha no se valida con clics correctos

Comprueba que el captcha no se regenere antes de la validación, que la respuesta correcta se almacene por separado para cada sesión, que el formato de la respuesta sea el esperado y que el TTL del captcha no haya expirado.

CAPTCHA expirada

Si el usuario tarda mucho, aumente la TTL, actualice el CAPTCHA en reintento e informe al usuario de recargar imágenes.

Pruebas de resistencia de la protección

Después de la integración, asegúrate de que el sistema realmente proteja el sitio contra acciones automatizadas.

Intente enviar el formulario sin clics — el servidor debería rechazar la solicitud;

Envíe un conjunto aleatorio de clics o coordenadas — la verificación debe fallar;

Envíe respuesta para una CAPTCHA expirada — el servidor debe rechazar;

No reutilice un CAPTCHA ya resuelta — no debe ser posible la revalidación;

Realice pruebas de carga (p. ej., con k6 o JMeter) — con muchas solicitudes:

las imágenes deben generarse correctamente;
el servidor no debe mezclar respuestas de usuarios;
la verificación de clics debe permanecer estable.

Consejos de seguridad y optimización

Almacene la respuesta correcta <b>solo en el servidor</b> (memoria, Redis o base de datos), nunca en el cliente.

Almacene la respuesta correcta solo en el servidor (memoria, Redis o base de datos), nunca en el cliente.

Use identificadores de CAPTCHA de un solo uso (<b>captchaId</b>).

Use identificadores de CAPTCHA de un solo uso (captchaId).

Limite la cantidad de intentos por CAPTCHA.

Siempre use <b>HTTPS</b> para transmitir imágenes y clics.

Siempre use HTTPS para transmitir imágenes y clics.

Cache imágenes y use <b>URLs temporales</b> si es posible.

Cache imágenes y use URLs temporales si es posible.

Registre errores de generación y verificación (hora, IP/fingerprint, razón de rechazo).

Registre errores de generación y verificación (hora, IP/fingerprint, razón de rechazo).

Actualice regularmente la mecánica del CAPTCHA (conjuntos de imágenes, tamaño/estructura de cuadrícula, tipos de tareas).

Actualice regularmente la mecánica del CAPTCHA (conjuntos de imágenes, tamaño/estructura de cuadrícula, tipos de tareas).

Conclusión

Si encuentra un sitio con CAPTCHA ya instalado u otro sistema de protección y no tiene acceso al código — ¡no hay problema! Es fácil identificar la tecnología utilizada. Para verificar el funcionamiento, puede usar CapMonster Cloud en un entorno de prueba aislado y asegurarse de que el procesamiento de tokens y la lógica funcionen correctamente.

Con CAPTCHA de imágenes basta con identificar el sistema, estudiar su comportamiento y asegurarse de que la protección funcione. En este artículo mostramos cómo reconocer CAPTCHA de imágenes (ComplexImage) y cómo integrarla o reconfigurarla para mantener la protección y controlarla de manera confiable.

Enlaces útiles

Documentación de CapMonster Cloud (ComplexImage) →

Guía para crear su propio CAPTCHA →

Registro en el servicio CapMonster Cloud →

La extensión de navegador de CapMonster Cloud está disponible para Chrome y Firefox. La guía completa de instalación y uso está disponible aquí.

CAPTCHA con Imágenes (ComplexImage) y CapMonster Cloud

Cómo resolver un CAPTCHA de imágenes usando CapMonster Cloud

CAPTCHA con Imágenes (ComplexImage)
y CapMonster Cloud